Phishing na Facebooku

3 kwiecień 2013 | Kategoria: Social media

W dobie rozwiniętych cyfrowych kanałów komunikacyjnych, każdy użytkownik Internetu narażony jest na różne ataki ze strony crackerów. Jednym z takich zagrożeń jest phishing, czyli kradzież tożsamości w sieci, polegająca na wyłudzeniu danych osobistych – haseł do witryn internetowych, numerów kart kredytowych czy haseł dostępowych do kont bankowych.

Atakujący, który przeprowadza phishing, wykorzystuje metody socjologiczne i psychologiczne oraz spreparowane odnośniki aby uśpić czujność użytkownika i w ten sposób wykrada jego dane. Te metody polegają najczęściej na podszywaniu się pod administratorów serwisów, stron czy organizacji i przekonaniu potencjalnych ofiar, by przekazały swoje hasło przykładowo ze względu na przeprowadzane prace modernizacyjne czy czynności związane z utrzymaniem bezpieczeństwa.

Pierwszy zarejestrowany przypadek użycia tej metody wykradania informacji pochodzi z 1995 roku, kiedy to zaatakowani zostali klienci dostawcy usług internetowych AOL (America OnLine). Crackerzy podszywali się pod pracowników firmy i prosili o „zweryfikowanie swojego konta”, prosząc o ujawnienie hasła dostępowego. Z tym problemem amerykański gigant poradził sobie dopiero po dwóch latach, a phishing zaczynał już zyskiwać na popularności w całej sieci.

Phishing najczęściej odbywa się poprzez wysłanie użytkownikowi formularza czy komunikatu, który do złudzenia przypomina ten, który mógłby być wysłany przez prawdziwych administratorów serwisu.

Atak phishinguOd kiedy pojawiły się  serwisy społecznościowe, w tym największy – Facebook, sieciowi przestępcy zwietrzyli możliwość przejmowania ogromnej ilości kont. Są one najczęściej wykorzystywane do przesyłania szkodliwego spamu do innych użytkowników. Phishing kont prywatnych użytkowników to poważny problem, ale gra o wysoką stawkę zaczyna się wtedy, gdy zjawisko to dotyczy kont administratorów stron fanowskich. Fanpage ma bowiem dużo większy zasięg i w krótkim czasie może przekazać treści do wielu użytkowników. Co stanie się jeżeli przejęty zostanie profil administratora strony fanowskiej marki czy organizacji posiadającej kilkaset tysięcy fanów? Spam przybiera wtedy niewyobrażalnie wielką formę! Ponadto stronę można z łatwością zdyskredytować, na przykład umieszczając na fanpage’u niecenzuralne treści.

To właśnie zdarzyło się kilka dni temu na stronie fanowskiej Gazety Wyborczej. Nieostrożny administrator fanpage’a dał się złowić na krótką, nieprecyzyjną wiadomość prywatną. W wiadomości oszust prosił o wycenę publikacji zdjęcia, które można było obejrzeć pod linkiem. Po kliknięciu na link przekierowujący do zdjęcia, okazało się, by je zobaczyć, należało się ponownie zalogować do serwisu Facebook (oczywiście na fałszywej stronie, do złudzenia przypominającej panel logowania Facebooka – jedyną różnicę można było odnaleźć na pasku adresowym). Część administratorów, bardziej podejrzliwych, pytało, dlaczego muszą ponownie się zalogować do serwisu. Odpowiedzi oszustów miały właśnie znamiona metod psychologicznych – tłumaczono, że to nieznany błąd, który rzeczywiście utrudnia i przeszkadza klientom w obejrzeniu zdjęcia i sugerowano, by nie zwracać na niego uwagi, tylko zalogować się do serwisu. W ten sposób w ręce przestępców wpadły dane dostępowe m.in. do konta administratora strony fanowskiej jednego z najbardziej poczytnych dzienników w Polsce. Na fanpage’u GW opublikowany został wulgarny komentarz dotyczący samej Wyborczej jak i premiera Donalda Tuska, co wywołało medialną burzę. Dopiero po kilku godzinach przedstawiciele Facebooka odzyskali konto na rzecz prawowitego właściciela. Sam „haker” nie zatarł za sobą wszystkich śladów i prawdopodobnie zostanie złapany oraz odpowie za swoje czyny.

Oczywiście sprawa nie dotyczyła tylko strony fanowskiej Gazety Wyborczej – ofiarami ataków stali się również administratorzy innych dużych stron.

W związku z tą historią dziwią nas dwie rzeczy:

1. Po co administratorzy fanpage’y interesują się możliwością publikowania treści reklamowych na swojej stronie fanowskiej? Publikacji takich reklam mogą służyć celowo ku temu zakładane strony, ale na pewno nie fanpage’e poczytnego dziennika czy znanej marki. Jest to według nas niedopuszczalne, by na stronie fanowskiej firmy, marki czy organizacji pojawiały się treści reklamowe inne niż te dotyczące samego podmiotu będącego właścicielem fanpage’a.

2. Jak administrator dużej strony fanowskiej, promującej poważną markę, którą lubi ponad 100 tys. użytkowników, może być na tyle nieostrożny i naiwny, że klika w link nie sprawdzając jego adresu (już sam adres linku był naprawdę podejrzany), a nawet po kliknięciu nie sprawdza paska adresowego na nowej stronie logowania. Są to elementarne zasady bezpieczeństwa w sieci. Działanie oszustów przeprowadzających ten atak nie było skomplikowane technicznie – niektórzy mówią, że phishing to „łowienie naiwnych” i jak się okazało, tu ta definicja sprawdziła się doskonale.

Nic nie ochroni przed utratą danych tak jak zdrowy rozsądek i zasada ograniczonego zaufania w sieci.

 

 

Share Button

Borbis Media na Facebooku

Polub naszą stronę i bądź na bieżąco